Android NFC 漏洞可被黑客拿来传播植入恶意软件
| 2019-11-05 12:12
ZDNet 报道称,近期曝光的一个 Android 漏洞,导致黑客能够利用设备上的近场接触(NFC)功能,向受害者传播植入恶意软件。CVE-2019-2114 漏洞报告指出,问题源自一项鲜为人知的 Android OS 功能,它就是 NFC Beaming 。所有运行 Android 8 Oreo 及以上版本的设备,都会受到影响。
据悉,NFC 广播通过设备内部的 Android OS 服务(Android Beam)来工作。 这项服务允许 Android 设备使用近场通讯(NFC)技术来替代 Wi-Fi 或蓝牙,将图像、文件、视频、甚至应用程序,发送到另一台设备上。
通常情况下,通过 NFC 传输的 APK 安装包会存储在设备上,并在屏幕上显示相关通知,询问用户是否允许安装未知来源的应用程序。然而今年 1 月,一位名叫 Y. Shafranovich 的安全研究人员发现:在 Android 8(Oreo)或更高版本的系统上通过 NFC 广播来发送应用程序,并不会显示这一提示。
相反,该通知允许用户一键安装应用程序,而不发出任何安全警告。尽管缺少一个提示,听起来似乎并不那么重要,但它还是成为了 Android 安全模型中的一个重大问题。庆幸的是,谷歌已在 2019 年 10 月修复了这个影响 Android 设备的 NFC Beaming 漏洞。
“未知来源”的定义,特指通过官方 Play 商店之外安装的任何东西,其默认都被视为不受信任和未经验证。若用户需要侧载外部应用,必须前往设置菜单,然后手动启用“允许从未知来源安装应用”。
Android 8 Oreo 之前,这项设置并没有什么问题。然而从 Android 8 Oreo 开始,谷歌将这种机制重新设计为基于 App 的设置。在 CVE-2019-2114 漏洞中,Android Beam 竟然被列入了白名单,获得了与官方 Play 应用商店相同的信任权限。
谷歌表示,Android Beam 服务从来就不是安装应用程序的一种方式,而仅仅是一种在设备之间传输数据的方式。即便如此,该公司还是在 2019 年 10 月的 Android 安全补丁中,将 Android Beam 踢出了这款移动操作系统中的受信任来源列表。
对于数百万仍处于危险之中的 Android 用户,我们在此建议大家尽快升级手机的安全补丁、或者尽量在不使用时关闭 NFC 和 Android Beam 功能。
来源:cnBeta.COM
更多资讯
Firefox 72 Nightly 现已添加对 HTTP/3 的支持
继 Chrome 和 Cloudflare 之后,Mozilla 宣布在 Nightly 通道的最新版本中已经添加了对 HTTP/3 的支持,不过由于该版本中并未获得最 QUIC 协议的支持,因此目前尚未生效。目前谷歌已经在 Chrome Canary 通道版本中添加了实验性质的“HTTP over QUIC”(又名 HTTP/3)支持,可以通过命令行模式测试启用。
来源:cnBeta.COM
详情链接:https://www.dbsec.cn/blog/article/5348.html
Gitlab 讨论不招中国和俄罗斯的网站可靠性工程师
Gitlab 的各种政策都通过网站文档的方式公诸于众,其中部分政策相当敏感,比如出于保护用户数据的原因考虑停止招募部分国家的工程师。根据上个月的一份文档,部分企业客户对部分国家的工程师访问客户数据表达了担忧。
来源:solidot.org
详情链接:https://www.dbsec.cn/blog/article/5349.html
俄罗斯互联网主权法生效
俄罗斯的互联网主权法正式生效,该法律给予政府广泛的权利限制俄罗斯境内的 Web 流量。克里姆林宫称它有助于改进网络安全,用户不会注意到任何改变。
来源:solidot.org
详情链接:https://www.dbsec.cn/blog/article/5350.html
网络平台泄露多少用户信息可入罪?司法解释来了
11月1日,《最高人民法院、最高人民检察院关于办理非法利用信息网络、帮助信息网络犯罪活动等刑事案件适用法律若干问题的解释》(以下简称《解释》)正式施行。《解释》对信息泄露、钓鱼网站等互联网上屡见不鲜的犯罪行为,有了明确规范。
来源:每日经济新闻
详情链接:https://www.dbsec.cn/blog/article/5351.html
(信息来源于网络,安华金和搜集整理)